Beobachtete Daten übermitteln Informationen über Entitäten im Zusammenhang mit Cybersicherheit, z. B. Dateien, Systeme und Netzwerke, die die STIX Cyber-Observable Objects (SCOs) verwenden. Beobachtete Daten gelten für STIX 2.x.

Beobachtete Daten erfassen sowohl eine einzelne Beobachtung einer einzelnen Entität (Datei, Netzwerkverbindung) als auch die Zusammenfassung mehrerer Beobachtungen einer Entität.

Sie können beobachtete Daten selbst (ohne Beziehungen) verwenden, um Rohdaten zu übermitteln, die aus einer beliebigen Quelle erfasst wurden. Quellen umfassen Analystenberichte, Sandboxen sowie Netzwerk- und hostbasierte Erkennungstools.

Beispielsweise können beobachtete Daten Informationen zu einer IP-Adresse, einer Netzwerkverbindung, einer Datei oder einem Registrierungsschlüssel erfassen. Beobachtete Daten sind keine Intelligence Assertion, sondern einfach Rohinformationen ohne Kontext für das, was sie bedeuten.